“如何保护你的Linux服务器不受ssh暴力破解攻击？7个有效方法让你的系统更安全”

SSH（Secure Shell）是一种非常常用的远程登录和管理工具，在Linux系统中，由于其默认配置可能存在安全漏洞，SSH可能会成为黑客攻击的目标。黑客通过暴力破解来试图登录系统，为了防止SSH被暴力破解，我们可以采取以下一些措施。

如何防止SSH被暴力破解

修改SSH端口

默认情况下，SSH服务运行在22端口，我们可以通过修改SSH的端口号来防止暴力破解。修改SSH端口后，黑客需要知道新的端口号才能尝试破解，这大大增加了破解的难度。

# 打开SSH配置文件
sudo nano /etc/ssh/sshd_config

# 找到并修改Port行，例如改为2222
Port 2222

禁用root用户远程登录

root用户是Linux系统中的最高权限用户，禁用root用户的远程登录可以大大降低系统被攻击的风险，我们可以通过修改/etc/ssh/sshd_config文件来实现这一点。

# 打开SSH配置文件
sudo nano /etc/ssh/sshd_config

# 找到并注释掉或删除PermitRootLogin行，例如改为
# PermitRootLogin yes
PermitRootLogin no

使用公钥认证

公钥认证是一种比密码认证更安全的方式，它使用一对密钥，公钥放在服务器上，私钥放在客户端，当客户端尝试登录时，服务器会使用公钥进行验证，这种方式不需要在网络上传输密码，因此更安全。

首先在客户端生成公钥和私钥：

ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

然后将公钥复制到服务器：

ssh-copy-id user@your_server_ip_address

最后在服务器上配置公钥认证：

# 打开SSH配置文件
sudo nano /etc/ssh/sshd_config

# 找到并修改PasswordAuthentication行，例如改为no
PasswordAuthentication no

设置密码策略

我们可以通过设置密码策略来防止暴力破解，我们可以设置密码的最小长度、最大使用期限、必须包含的字符类型等。

# 打开PAM配置文件
sudo nano /etc/pam.d/common-password

# 找到并修改如下行
# minlen=10 ucredit=1 lcredit=1 dcredit=1 ocredit=1 maxrepeat=3 maxsequence=3 ignorespace neverlogged md5 retry=3 use_authtok try_first_pass
password   requisite   pam_pwquality.so retry=3 silent_failure local_users_only debug nullok ignore_old_password remember=5 minlen=10 minclass=8 enforce_for_root

使用防火墙

防火墙可以阻止未经授权的访问，使用防火墙可以防止SSH被暴力破解，我们可以设置防火墙规则，只允许来自特定IP地址的SSH连接。

安装并更新安全补丁

经常更新系统和软件的安全补丁可以防止已知的安全漏洞被利用，从而防止SSH被暴力破解。

使用Fail2Ban

Fail2Ban是一个防止暴力破解的工具，它可以监控SSH服务的日志文件，如果发现异常的登录尝试，Fail2Ban会自动封锁这个IP地址一段时间。

如何实施上述措施

以下是如何在Linux中实施上述措施的详细步骤：

修改SSH端口

# 打开SSH配置文件
sudo nano /etc/ssh/sshd_config

# 找到并修改Port行，例如改为2222
Port 2222

禁用root用户远程登录

# 打开SSH配置文件
sudo nano /etc/ssh/sshd_config

# 找到并注释掉或删除PermitRootLogin行，例如改为
# PermitRootLogin yes
PermitRootLogin no

使用公钥认证

首先在客户端生成公钥和私钥：

ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

然后将公钥复制到服务器：

ssh-copy-id user@your_server_ip_address

最后在服务器上配置公钥认证：

# 打开SSH配置文件
sudo nano /etc/ssh/sshd_config

# 找到并修改PasswordAuthentication行，例如改为no
PasswordAuthentication no

设置密码策略

# 打开PAM配置文件
sudo nano /etc/pam.d/common-password

# 找到并修改如下行
# minlen=10 ucredit=1 lcredit=1 dcredit=1 ocredit=1 maxrepeat=3 maxsequence=3 ignorespace neverlogged md5 retry=3 use_authtok try_first_pass
password   requisite   pam_pwquality.so retry=3 silent_failure local_users_only debug nullok ignore_old_password remember=5 minlen=10 minclass=8 enforce_for_root

使用防火墙

使用防火墙可以防止SSH被暴力破解，我们可以设置防火墙规则，只允许来自特定IP地址的SSH连接。

# 安装防火墙
sudo apt-get install ufw

# 允许SSH连接
sudo ufw allow 2222/tcp

# 只允许来自特定IP地址的SSH连接
sudo ufw allow from 192.168.1.100 to any port 2222

# 启用防火墙
sudo ufw enable

安装并更新安全补丁

# 更新已安装的软件包和安全补丁
sudo apt-get update
sudo apt-get upgrade

使用Fail2Ban

# 安装Fail2Ban
sudo apt-get install fail2ban

# 修改配置文件
sudo nano /etc/fail2ban/jail.local

# 添加如下配置
[sshd]
enabled   = true
port      = 2222
filter    = sshd
logpath   = /var/log/auth.log
maxretry  = 3
bantime   = 600

结尾与推荐

通过以上措施，我们可以大大提高SSH的安全性，避免暴力破解和攻击。附加一些推荐：

• 使用强密码，定期更换
• 限制登录尝试次数和时间间隔
• 启用防火墙
• 安装并启用SSH密钥认证

如果您有任何问题或建议，请在下面的评论区留言，谢谢！

感谢您的阅读，如果觉得本文对您有帮助，请点赞、关注和分享，谢谢！

本文链接：https://www.24zzc.com/news/171357228469360.html